Бан по IP

vladinc

New Member
Имам няколко ИП-та които съм забелязал че ми торзмозят сървъра със странни рекуести..
Чудя се дали тази команда ще ги спре:

/sbin/iptables -I INPUT -s {87.206.164.230} -j DROP /sbin/iptables -I INPUT -s 87.206.164.230 -j DROP

а и също .. дали това ще е валидна команда :

/sbin/iptables -I INPUT -s {87.206.*.*} -j DROP /sbin/iptables -I INPUT -s 87.206.*.* -j DROP
 

uni-web

Well-Known Member
От: Бан по IP

.htaccess
PHP:
Order Allow,Deny
Deny from 69.28.130.
Allow from all
 

vladinc

New Member
От: Бан по IP

Не искам да го правя с хтаццесс.. имам няколко сайта на сървъра и ми се иска да не си играя да правя хтаццесс за всеки по отделно..
а и не искам да е само за апаче.. ами като цяло .. и фтп и шел достъп
 

mobilio

Well-Known Member
От: Бан по IP

iptables -I INPUT -s 11.22.33.44 -j DROP
е командата само 11.22.33.44 го заменяш с твоето IP

Когато искаш да спреш цяла мрежа се пише това
iptables -i eth1 -A INPUT -s 11.22.0.0/16 -j DROP
Но ще трябва да си сметнеш маската (такова нещо като * в IP адрес НЯМА!) При теб ще е 87.206.0.0/16 примерно
Алтернативата е това:
iptables -A INPUT -p tcp -m iprange --src-range 11.22.33.44-22.33.44.55 -j DROP
iptables -A INPUT -p tcp -m iprange --src-range 11.22.33.44-55 -j DROP
Втората команда забранява от 44 до 55 само!

Сега - заиграването с iptables е най-добре да го направиш на машина до която имаш ФИЗИЧЕСКИ достъп защото очевидно си новак. Ако набиеш по-странни правила като нищо можеш да забраниш всичко от което ще пострадаш. Затова не записвай правилата и не ги зареждай при стартиране на машината.
 

uni-web

Well-Known Member
От: Бан по IP

Не искам да го правя с хтаццесс.. имам няколко сайта на сървъра и ми се иска да не си играя да правя хтаццесс за всеки по отделно..
а и не искам да е само за апаче.. ами като цяло .. и фтп и шел достъп

Защо за всеки поотделно, нима не го ползваш вече? Не виждам какъв е проблема, да копи пейстнеш няколко реда код в няколко файла? Цялото усилие примерно при мен са 14, би ми отнело 14 минути, може и по-бързо ако не съм натоварен и с друго. И не е нужно нов да се прави поставяш си го като допълнително условие и забравяш.
 

Unwise

Well-Known Member
От: Бан по IP

За да се стигне до изпълняване на .htaccess, това трябва да мине през apache, което е допълнително натоварване. Най-ефективно е блокиране още от началото, т.е. чрез iptables. Когато напишеш правилата не прави save докато не си сигурен, че не си се самобаннал. В случай на гаф ако не си направил save, можеш по телефон или по mail да поискаш рестартиране на машината от тези, които се грижат за сървъра ти. При рестарт без save на правилата последните добавени няма да ги има. Ако всичко е OK, даваш save на правилата и забравяш за досадниците.
 

vladinc

New Member
От: Бан по IP

Сложих един Firestarter да ми е по - лесно и в момента експериментирам с него.. чудесна работа върши.. За малко ми беше да се отрежа самичък но нареме се усетих :)
Благодаря на всички за помоща...
сега идва ред на гадните китайски мрежи дето ме тормозят последните дни :twisted:
 

mobilio

Well-Known Member
От: Бан по IP

Не знам Firestarter на какво ниво е в момента, все пак ползвам само конзоли.
Но iptables има различни параметри и можеш да ограничиш и броя на конекциите от 1 ip.
Ето и примери:
http://www.cyberciti.biz/faq/iptables-connection-limits-howto/

Така ако те тормозят ще гризнат дървото.
 

dragozh

Active Member
От: Бан по IP

Опитай с това http://configserver.com/cp/csf.html . Малко е играчка докато го настроиш, но после ще си сигурен и за другите си услуги на сървър-а. Ако ти трябва помощ драсни и ще го настроим.
 

JaG

Member
От: Бан по IP

Работя по проект с доста атаки от китай, но и нормални китайки потребители, които ползват услугата. Блокирането на botnet–и, които ти правят лош трафик е решение, но често то решава само проблема да не им отговаряш. Реално трафика пак влиза до сървъра ти и ти го drop-ваш. Реално решение на проблеми с такива атаки не мисля че съществува. Всичко е въпрос на кой по-голям ще го извади (говоря за мрежата :p ). Ако атаките ти запълнят мрежовия канал firewall-a с нищо няма да помогне.

Сложих един Firestarter да ми е по - лесно и в момента експериментирам с него.. чудесна работа върши.. За малко ми беше да се отрежа самичък но нареме се усетих :)
Благодаря на всички за помоща...
сега идва ред на гадните китайски мрежи дето ме тормозят последните дни :twisted:
 

coolice

Owner
Re: От: Бан по IP

Опитай с това http://configserver.com/cp/csf.html . Малко е играчка докато го настроиш, но после ще си сигурен и за другите си услуги на сървър-а. Ако ти трябва помощ драсни и ще го настроим.

това е доста добро :)
 

NullByte

Active Member
От: Бан по IP

Написах тема, която би ви улеснила в използването на iptables - линк: http://www.predpriemach.com/showthread.php?t=43164
За мен това си остава най-добрия вариант за софтуерен firewall, защото защитната стена е на ниво kernel.
 
Последно редактирано:

Горе